Identiteitscontrole overstijgt systeem

Federatieve standaarden WS-Security en SAML vullen elkaar aan

Bedrijven functioneren niet op zichzelf. Ze maken vrijwel altijd deel uit van een keten van partners, leveranciers en wederverkopers. We zien dat terug in hun it-systemen, die meer en meer aan elkaar vastgeketend zijn. Dat maakt het extra belangrijk om precies te weten of degene die inlogt de juiste referenties heeft.

Federatie is op dit moment het belangrijkste woord binnen identiteitsbeheer. Het gaat er daarbij om dat de identiteit van een natuurlijk persoon in zijn eigen omgeving wordt vastgesteld en zijn bevoegdheden ‘meeverhuizen’ wanneer hij op andere it-systemen in de keten terechtkomt. In grote lijnen zijn hier twee standaarden voor: WS-Federation van Microsoft en SAML van OASIS (zie kaders). Daniel Dorr, Emea marketing manager Identity Management Solutions van HP, gelooft niet dat deze twee recht tegenover elkaar staan. Hij ziet de standaarden veel meer als een aanvulling op elkaar.

Privacy

“WS-Federation wordt vooral gebruikt tussen organisaties, terwijl SAML zich meer lijkt te richten op de communicatie en federatie tussen bedrijven en consumenten. Daar zit een verschil tussen, en de vraag is niet welke van de twee gebruikt moet worden, maar welke standaard in een bepaalde situatie de beste oplossing levert. Als je infrastructuur voornamelijk uit Microsoft bestaat en je het identiteitsbeheer regelt op basis van ActiveDirectory, is het logisch om voor de federatie binnen WS-Security te kiezen.”

Dorr legt uit dat in de praktijk verschillende afdelingen binnen een bedrijf vaak voor hun eigen authenticatie hebben gekozen. Die moet nu breder worden doorgevoerd binnen en buiten de organisatie. “Er is dus sprake van een lange- en een korte termijnvisie. Op de lange duur zal het niets uitmaken voor welke standaard je kiest omdat ze op elkaar gaan aansluiten. Voor de korte termijn ligt dat anders en zal een meer strategische beslissing genomen moeten worden.”

“Het is daarbij moeilijk te bepalen welke standaard het meeste momentum zal hebben. Omdat veel bedrijven al werken met ActiveDirectory, dachten we dat WS-Federation het snelst ingeburgerd zou raken. Dat is niet gebeurd. Misschien omdat het geen open standaard is, terwijl SAML dat wel is en de it-gemeenschap daar meer vertrouwen in lijkt te hebben. SAML is ook ouder dan de Microsoft-variant, waardoor er brede ondersteuning is. Ten derde is privacy nog een ondergeschoven kind bij WS-Federation. We wachten met smart op WS-Privacy, dat er nog steeds niet is. Zeker binnen Europa is dat toch een belangrijk gegeven.”

Naadloos

Volgens Dorr is federatie op dit moment nog voornamelijk de speeltuin van grote bedrijven. Hij verwacht dat dit snel zal veranderen en bedrijven in het mkb de mogelijkheid tot federatie gaan gebruiken in hun concurrentiestrijd. “Als mkb’er kan je jezelf als bedrijf groter maken dan je in werkelijkheid bent. Door als handelsbedrijf te federeren met een logistiek dienstverlener, biedt je je klanten meer toegevoegde waarde. Met de huidige stand van de technologie kan dat vrijwel naadloos aansluiten. Daarmee kan een bedrijf zich onderscheiden van de concurrentie.”n